La cyber-assurance devient rapidement un élément incontournable de la conduite des affaires, car de plus en plus d’organisations acceptent le caractère inévitable du cyber-risque. Il existe une prise de conscience croissante de la nécessité de se préparer à l’impact d’incidents de sécurité dévastateurs tels que ceux causés par les ransomwares, tout comme une entreprise investit dans une couverture contre les menaces physiques potentielles telles que les incendies ou les dommages criminels.
Mais alors que d’autres perturbations potentielles bénéficient de prestataires d’assurance stables avec des décennies, voire des siècles de pratique derrière eux, la cyber-assurance est un domaine naissant qui s’est avéré difficile à maîtriser. Même les piliers les plus expérimentés de l’industrie de l’assurance ont eu du mal à s’acquitter de cette tâche. Dans de nombreux cas, les primes ont rapidement augmenté car les fournisseurs sont devenus plus prudents à l’idée d’être laissés pour compte en cas de violations de plusieurs millions de dollars.
En conséquence, la cyberassurance est devenue inaccessible pour de nombreuses petites entreprises. Les recherches indiquent que le nombre d’entreprises qui ne peuvent pas se permettre le coût devrait doubler.
Alors, qu’est-ce qui rend la cyber-assurance tellement plus difficile que d’autres formes, et comment les entreprises peuvent-elles se permettre des primes et des conditions d’accès de plus en plus élevées ?
Pourquoi le cyber est-il si différent des autres domaines de l’assurance ?
En surface, la cyber-assurance devrait fonctionner à peu près de la même manière que toute autre forme de protection. Le risque est évalué en fonction de divers facteurs connus, et les niveaux de couverture et les primes sont déterminés en fonction de la probabilité d’un incident, de sa gravité et de son impact potentiels.
Le problème est la complexité même du cyber-paysage et le nombre de variables impliquées.
Prenons l’assurance incendie comme exemple d’un domaine où les variables sont extrêmement bien comprises – nous avons eu quelques milliers d’années de pratique dans la compréhension de l’incendie, après tout. Il est relativement facile pour les assureurs d’évaluer la sécurité incendie en fonction du matériau utilisé pour la construction, des précautions telles que les extincteurs et d’autres influences telles que le terrain et les influences climatiques. Là où il y a des changements, ils sont très visibles. J’ai grandi dans une région boisée d’Australie où le risque d’incendie a augmenté, par exemple.
Le cyber est infiniment plus complexe en comparaison, avec un nombre presque illimité de variables en jeu. Les environnements informatiques individuels sont suffisamment compliqués mais peuvent être efficacement analysés et évalués de la même manière qu’une structure physique.
Mais le véritable problème est le chaos tourbillonnant et en constante évolution du paysage cybernétique. Un record de 18 439 nouvelles vulnérabilités ont été signalées et répertoriées par la National Vulnerability Database l’année dernière, en moyenne plus de 50 nouvelles découvertes chaque jour.
Chaque nouvelle version ou mise à jour d’un produit logiciel représente un nombre inconnu de nouvelles vulnérabilités et expositions que les pirates doivent découvrir, ainsi que la possibilité que des problèmes soient découverts avec des systèmes plus anciens. Dans le même temps, les adversaires sont devenus plus organisés et mieux à même d’exploiter les vulnérabilités. De nouvelles techniques et outils d’attaque apparaissent également constamment. Comme le dit le cybermantra, nous ne savons pas ce que nous ne savons pas.
Par conséquent, le paysage cybernétique est beaucoup plus difficile à comprendre et à suivre que n’importe quel risque commercial antérieur. Bien que des progrès aient été réalisés, le secteur de l’assurance n’a pas encore équilibré le domaine de la cybersécurité. Les fournisseurs ne savent toujours pas à quoi ressemble un niveau de risque acceptable pour leurs clients, les laissant vulnérables au paiement d’énormes sommes grâce à une couverture qui s’est avérée trop généreuse. Des primes plus élevées avec des exigences plus strictes sont l’un des résultats des fournisseurs qui cherchent à se protéger contre ce risque.
Le danger d’une réalité à deux vitesses
En plus du coût de la prime elle-même, il y a une tendance croissante pour des polices plus complexes qui imposent des exigences compliquées aux souscripteurs et contiennent plus de clauses qui annuleront la couverture. Par exemple, les entreprises peuvent avoir besoin de respecter une liste prescriptive très stricte de solutions de sécurité et de précautions pour être éligibles à la couverture.
Cette tendance risque de créer un système inégal à deux niveaux pour la cyberassurance. Alors que l’assurance doit toujours être considérée comme la dernière ligne de défense lorsque tout le reste a échoué, les petites entreprises se verront refuser ce filet de sécurité et seront par conséquent plus vulnérables.
Si les primes continuent d’augmenter, seules les grandes organisations disposant de budgets importants pourront les payer. Cela fournit une dernière ligne de défense efficace parallèlement au fait que ces grandes entreprises peuvent déjà se permettre plus de solutions de sécurité et de personnel.
En conséquence, les petites entreprises qui ne peuvent pas budgétiser une augmentation des primes seront encore plus vulnérables aux cybermenaces. Les gangs criminels ne seront que trop conscients que ces entreprises sont non seulement des cibles plus faciles, mais aussi plus susceptibles de céder à des attaques perturbatrices comme les ransomwares ou l’exfiltration de données et le chantage, car elles n’ont pas le capital d’assurance pour les aider à se rétablir.
Comment les petites entreprises peuvent-elles augmenter leurs chances d’obtenir une cyber-assurance ?
Le marché de la cyberassurance mettra probablement un certain temps à se développer, car les fournisseurs détermineront comment ils peuvent suivre au mieux l’évolution rapide du paysage de la sécurité et protéger leurs propres marges contre les incidents graves.
En attendant, les organisations qui souhaitent bénéficier de la protection supplémentaire d’une couverture d’assurance devront se concentrer sur le respect de primes plus élevées et plus restrictives sans dépenser tout leur budget. Un état d’esprit préventif ira loin ici, tout en tenant compte des menaces qui peuvent déjà être présentes dans le système.
Les efforts doivent viser à réduire autant que possible l’exposition au risque avec chaque investissement. Les ransomwares sont l’une des menaces les plus médiatisées à l’heure actuelle et l’un des problèmes qui inquiète le plus le secteur de l’assurance. AXA a fait des vagues l’année dernière en tant que premier grand fournisseur à se retirer de la couverture des paiements de ransomware dans ses politiques, mais les ransomwares peuvent être une perspective extrêmement coûteuse, même en dehors de la demande elle-même.
Les entreprises qui ont clairement pris ce risque au sérieux et investi dans leur capacité à détecter et atténuer les ransomwares auront une meilleure chance d’apaiser les fournisseurs incertains. Les facteurs clés ici incluent la capacité d’identifier les attaques tôt et de minimiser les dommages grâce à des processus tels que la segmentation.
De même, l’exfiltration de données est un problème sérieux qui sera au centre de nombreuses politiques. En plus de l’impact de la perte de données, les attaquants doublent de plus en plus les victimes avec des demandes de chantage similaires aux ransomwares. Les entreprises devront prouver qu’elles peuvent détecter et prévenir de manière fiable les tentatives d’exfiltration.
L’automatisation est l’un des atouts les plus importants pour obtenir ces fonctionnalités avec un budget limité. L’automatisation des processus clés tels que les autorisations d’accès, la détection et la réponse libérera à la fois des ressources et de la main-d’œuvre qui pourront être réaffectées à d’autres activités utiles. Lorsqu’elle est bien réalisée, l’automatisation peut aider les petites entreprises à dépasser largement leur poids en termes de capacité à détecter les menaces et à y répondre.
Bien qu’un scénario à deux niveaux puisse être un scénario inévitable, les petites entreprises peuvent suivre la bonne stratégie. En se concentrant sur les risques les plus importants, ainsi qu’en rationalisant et en automatisant les processus, il sera plus probable qu’ils puissent respecter des politiques strictes, tout en étant en mesure de budgétiser des primes plus élevées. Et bien sûr, les mêmes actions qui répondront aux exigences de la politique augmenteront également les chances qu’une entreprise ait besoin de se rabattre sur le filet de sécurité de l’assurance.
